当前位置：首页 > article >正文

pikachu靶场通关笔记07 XSS关卡03-存储型XSS

article 2025/6/5 14:40:55

一、XSS

二、存储型XSS

三、源码分析

四、渗透实战

1、输入mooyuan试一试

2、注入Payload

3、查看数据库

4、再次进入留言板页面

本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关）渗透集合，通过对XSS关卡源码的代码审计找到XSS风险的真实原因，讲解XSS的原理并进行渗透实践，本文为XSS关卡03-存储型XSS的渗透部分。

一、XSS

XSS 全称为跨站脚本攻击（Cross - Site Scripting），因其高危害性长期位列OWASP Top 10安全威胁。攻击者通过注入恶意脚本（通常为JavaScript）到网页中，脚本在其浏览器执行。XSS主要分为3种类别，具体如下表所示。

类型	存储方式	触发条件	危害范围	典型场景	防御重点
存储型XSS	恶意脚本永久存储在服务器	用户访问包含恶意脚本的页面	所有访问用户	论坛评论区、用户资料页	输入过滤+输出编码
反射型XSS	不存储，通过URL参数传递	用户点击特制恶意链接	单个点击用户	搜索框、错误页面	URL参数消毒+CSP策略
DOM型XSS	不经过服务器，纯前端风险	前端JS动态解析恶意构造的输入	执行恶意代码的用户	单页应用（SPA）、URL哈希值	安全的DOM操作+前端过滤

二、存储型XSS

存储型XSS（持久性跨站脚本攻击）是XSS风险中最严重的一种类型，其特点是恶意脚本被永久存储在目标服务器上（如数据库、文件系统等），当其他用户访问包含该恶意脚本的页面时，脚本会自动在其浏览器中执行，造成持续性的安全威胁。

这类攻击常见于用户提交内容可被重复展示的场景，如论坛评论区、用户资料页、商品评价区等Web交互功能，攻击者只需提交一次恶意代码（如包含JavaScript的评论），所有后续访问该页面的用户都会成为受害者。

分类	存储型XSS
别名	持久型XSS
存储位置	服务器端（数据库、文件系统等）
触发方式	用户访问被注入的页面时自动执行
攻击场景	论坛评论、用户资料、商品评价等可存储用户输入的交互功能
危害范围	所有访问被污染页面的用户
攻击特点	长期存在，无需诱导点击（与反射型XSS不同）
修复难度	高（需清理数据库中已存储的恶意脚本）

存储型XSS的危害性极大，可导致大规模用户数据泄露（如窃取登录凭证、会话Cookie）、网页内容篡改（如植入钓鱼表单），甚至传播恶意软件。由于恶意脚本存储在服务器，其影响会持续存在，直到被人工清除。

三、源码分析

进入pikachu靶场XSS系列种的第03关卡-存储型XSS页面,打开后发现是一个留言板，如下所示。

http://127.0.0.1/pikachu/vul/xss/xss_stored.php

查看存储型XSS关卡源码xss_stored.php文件内容，通过POST传入的参数message会被存储到数据库，且没有对message参数进行转义HTML特殊字符的过滤，说明有XSS存储型风险，具体如下所示。

接下来对源码进行详细注释，具体如下所示。

// 调用 connect 函数，建立与数据库的连接，并将返回的连接对象赋值给变量 $link
// 这个函数应该是自定义的，用于封装数据库连接的逻辑
$link = connect();// 初始化一个空字符串变量 $html，用于存储后续要输出的提示信息
$html = '';// 检查 $_POST 数组中是否存在键为 "message" 的元素，并且该元素的值不为 null
// 即判断用户是否通过 POST 请求提交了名为 "message" 的数据
if (array_key_exists("message", $_POST) && $_POST['message'] != null) {// 调用 escape 函数，对用户输入的 "message" 数据进行转义处理// 该函数可能是自定义的，用于防止 SQL 注入攻击，将特殊字符进行转义// 传入数据库连接对象 $link 和用户输入的 "message" 数据作为参数$message = escape($link, $_POST['message']);// 构建一个 SQL 插入语句，将用户输入的 "message" 数据插入到名为 "message" 的数据库表中// 插入的数据包含两个字段：content 存储用户输入的消息内容，time 存储当前时间// 使用 now() 函数获取当前时间$query = "insert into message(content,time) values('$message',now())";// 调用 execute 函数，执行上述构建好的 SQL 插入语句// 该函数应该是自定义的，用于封装执行 SQL 语句的逻辑// 传入数据库连接对象 $link 和 SQL 语句 $query 作为参数$result = execute($link, $query);// 检查执行 SQL 语句后受影响的行数是否不等于 1// 如果不等于 1，说明插入操作可能没有成功，数据库出现异常if (mysqli_affected_rows($link) != 1) {// 如果插入操作失败，向 $html 变量中追加一段提示信息// 提示用户数据库出现异常，提交失败$html .= "<p>数据库出现异常，提交失败！</p>";}
}

这段代码存在存储型 XSS风险，具体原因如下。

仅进行 SQL 转义，未对 XSS 攻击进行防护：虽然代码调用了 escape 函数对用户输入进行处理，其目的可能是为了防止 SQL 注入，但这个处理并没有考虑到 XSS 攻击的情况。escape 函数可能只是对 SQL 语句中的特殊字符进行转义，而没有对可能的 HTML 标签和 JavaScript 代码进行处理。
未对输出内容进行过滤和转义：当这些包含恶意脚本的内容从数据库中取出并显示在网页上时，由于没有对输出内容进行过滤和转义，浏览器会将其中的脚本代码解析并执行，从而导致 XSS 攻击。任何访问该页面的用户都会受到影响，因为恶意脚本会被存储在数据库中并持续影响后续的页面访问。

其中escape函数为自定义函数，在mysql.inc.php文件中定义，具体如下所示。

/*** 对数据进行转义处理，防止 SQL 注入攻击** 该函数可以处理字符串和数组类型的数据。对于字符串，使用 mysqli_real_escape_string 函数进行转义；* 对于数组，会递归调用自身对数组中的每个元素进行转义处理。** @param mysqli $link 数据库连接对象，用于 mysqli_real_escape_string 函数* @param mixed $data 需要进行转义处理的数据，可以是字符串或数组* @return mixed 转义后的数据，保持与输入数据相同的类型（字符串或数组）*/
function escape($link, $data) {// 检查传入的数据是否为字符串类型if (is_string($data)) {// 如果是字符串，使用 mysqli_real_escape_string 函数对字符串进行转义// 该函数会对字符串中的特殊字符（如单引号、双引号、反斜杠等）进行转义，防止 SQL 注入// 返回转义后的字符串return mysqli_real_escape_string($link, $data);}// 检查传入的数据是否为数组类型if (is_array($data)) {// 如果是数组，遍历数组中的每个元素foreach ($data as $key => $val) {// 递归调用 escape 函数，对数组中的每个元素进行转义处理// 将转义后的元素重新赋值给数组中对应的键$data[$key] = escape($link, $val);}}// 如果数据既不是字符串也不是数组，直接返回原始数据return $data;
}

四、渗透实战

1、输入mooyuan试一试

进入靶场的xss存储型关卡，如下所示是一个留言板页面，尝试输入mooyuan。

此时可以通过数据库管理软件，查看pikachu的message表，如下所示表中有一条为mooyuan的内容，说明留言板写入内容mooyuan被存储到数据库中。

2、注入Payload

XSS注入语句<script>alert("mooyuan")</script>的含义如下所示。

<script> 标签：HTML 中定义 JavaScript 代码块的标记。
alert("mooyuan")：调用浏览器的弹窗函数，显示内容为 mooyuan 的警告框。
整体作用：当该脚本被浏览器解析时，会立即弹出警示框。

<script>alert("mooyuan")</script>

输入<script>alert("mooyuan")</script>，弹框显示mooyuan说明渗透成功，如下所示。

3、查看数据库

查看数据库，如下所示XSS脚本被写入数据库。

4、再次进入留言板页面

更换浏览器访问存储型XSS页面，进入页面即弹框mooyuan，触发了XSS脚本的执行，渗透成功。

http://127.0.0.1/pikachu/vul/xss/xss_stored.php

点击确定后，页面如下所示。

可以通过点击最下面的删除，将注入的恶意XSS脚本删除。

pikachu靶场通关笔记07 XSS关卡03-存储型XSS

一、XSS

二、存储型XSS

三、源码分析

四、渗透实战

1、输入mooyuan试一试

2、注入Payload

3、查看数据库

4、再次进入留言板页面

相关文章：

pikachu靶场通关笔记07 XSS关卡03-存储型XSS

GitLab CI、GitHub Actions和Jenkins进行比较

strcat及其模拟实现

OpenCV CUDA模块直方图计算------用于在 GPU 上执行对比度受限的自适应直方图均衡类cv::cuda::CLAHE

华为OD机试真题——矩形绘制（2025A卷：200分）Java/python/JavaScript/C/C++/GO最佳实现

通义开源视觉感知多模态 RAG 推理框架 VRAG-RL：开启多模态推理新时代

爬虫入门：从基础到实战全攻略

qemu安装risc-V 64

JDBC连不上mysql：Unable to load authentication plugin ‘caching_sha2_password‘.

AsyncIOScheduler与BackgroundScheduler的线程模型对比

Python+MongoDb使用手册（精简）

前端面经协商缓存和强缓存

MacOS安装Docker Desktop并汉化

Centos系统搭建主备DNS服务

VUE项目部署IIS服务器手册

使用 HTML + JavaScript 实现在线考试系统

谷歌工作自动化——仙盟大衍灵机——仙盟创梦IDE

嵌入式（C语言篇）Day13

Oracle 的V$LOCK 视图详解

秒杀系统—1.架构设计和方案简介

基于FashionMnist数据集的自监督学习（生成式自监督学习AE算法）

从监控到告警：Prometheus+Grafana+Alertmanager+告警通知服务全链路落地实践

AUTOSAR图解==＞AUTOSAR_EXP_AIADASAndVMC

WPF【09】WPF基础入门 (三层架构与MVC架构)

macOS 风格番茄计时器：设计与实现详解

中文NLP with fastai - Fastai Part4

oracle goldengate实现远程抽取postgresql 到 postgresql的实时同步【绝对无坑版，亲测流程验证】

【MYSQL】索引篇（一）

ISCC-2025-web-wp

鸿蒙分辨率